Criar um grupo atribuível de função no Microsoft Entra ID

Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis a funções e atribuir funções do Microsoft Entra a esses grupos . Você cria um novo grupo atribuível de função definindo que as funções do Microsoft Entra podem ser atribuídas ao grupo como Sim ou definindo a isAssignableToRole propriedade definida como true. Um grupo atribuível por função não pode ser do tipo associação dinâmica e você pode criar um máximo de 500 grupos em um único locatário.

Este artigo descreve como criar um grupo atribuível por função usando o centro de administração do Microsoft Entra, o PowerShell ou a API do Microsoft Graph.

Pré-requisitos

Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Grupos>de identidade>Todos os grupos.

  3. Selecione Novo grupo.

  4. Na página Novo Grupo, forneça o tipo, o nome e a descrição do grupo.

  5. Definir funções do Microsoft Entra pode ser atribuído ao grupo como Sim.

    Essa opção é visível apenas para Administradores de Função Privilegiada e Administradores Globais, pois são apenas duas funções que podem definir essa opção.

    Screenshot of option to make group a role-assignable group.

  6. Selecione os membros e proprietários do grupo. Você também tem a opção de atribuir funções ao grupo, mas atribuir uma função não é necessário aqui.

  7. Selecione Criar.

    Você verá a seguinte mensagem:

    Criar um grupo ao qual as funções do Microsoft Entra podem ser atribuídas é uma configuração que não pode ser alterada posteriormente. Tem certeza de que deseja adicionar esse recurso?

    Screenshot of confirm message when creating a role-assignable group.

  8. Selecione Yes (Sim).

    O grupo é criado com quaisquer funções que você possa ter atribuído a ele.

PowerShell

Use o comando New-MgGroup para criar um grupo atribuível a funções.

Este exemplo mostra como criar um grupo atribuível de função de segurança.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true

Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.

Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"

Microsoft Graph API

Use a API Criar grupo para criar um grupo atribuível por função.

Este exemplo mostra como criar um grupo atribuível de função de segurança.

POST https://graph.microsoft.com/v1.0/groups
{
    "description": "Helpdesk Administrator role assigned to group",
    "displayName": "Contoso_Helpdesk_Administrators",
    "isAssignableToRole": true,
    "mailEnabled": false,
    "mailNickname": "contosohelpdeskadministrators",
    "securityEnabled": true
}

Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.

POST https://graph.microsoft.com/v1.0/groups
{
  "description": "Helpdesk Administrator role assigned to group",
  "displayName": "Contoso_Helpdesk_Administrators",
  "groupTypes": [
    "Unified"
  ],
  "isAssignableToRole": true,
  "mailEnabled": true,
  "mailNickname": "contosohelpdeskadministrators",
  "securityEnabled": true,
  "visibility" : "Private"
}

Para este tipo de grupo, isPublic será sempre falso e isSecurityEnabled será sempre verdadeiro.

Próximos passos